▸ Política de privacidad del servicio DNS de Quad9

La constitución de Quad9 en Suiza está aún en curso. Hasta que ese proceso se concluya, la parte responsable de la privacidad de los datos y del sitio web de Quad9 sigue siendo CleanerDNS Inc. dba Quad9, 1442 A Walnut Street, Suite 501, Berkeley CA 94709. Este documento se actualizará en breve, cuando finalice el proceso de constitución.
Este documento de política está redactado intencionalmente de forma concisa. La explicación descriptiva, más allá del marco de la misma política, se brinda en estos cuadros de texto.

0. Aplicación de la política

Esta Política de Privacidad, Procesamiento y Uso de Datos ("Política") describe las políticas del Servicio DNS de Quad9 (el "Servicio"), un servidor DNS recursivo operado por la Fundación Quad9 ("Quad9"). Esta política se aplica a las transacciones del Servicio de Nombres de Dominio (DNS, por sus siglas en inglés) entre los usuarios de Quad9 y bajo condiciones normales de Quad9.

Esta es la versión 1.0 de la Política, publicada el miércoles, 17 de febrero de 2021.

Esta política pretende cumplir o superar en su fondo y forma al Internet Engineering Task Force (IETF, grupo de Trabajo de Ingeniería de Internet) Solicitud de comentarios 8932, Recomendaciones para operadores de servicios de privacidad, que es la norma aplicable, y puede compararse con el Apéndice 4.1, Ejemplo de política RPS como referencia.

Publicamos un documento estrechamente relacionado, Cumplimiento y ley aplicable, que le recomendamos encarecidamente que también lea, ya que en él se documenta los procedimientos por los que rendimos cuentas según el derecho penal, para el cumplimiento de esta política de privacidad, los recursos y las protecciones legales disponibles para el usuario de los servicios de Quad9, sin importar su país de residencia o ciudadanía, y las limitaciones del poder gubernamental que puedan interferir en las protecciones que ofrecemos.

Quad9 puede modificar esta política publicando una nueva versión con un número actualizado de versión, en https://quad9.net/privacy/policy/.

Contamos una política de privacidad aparte que se aplica bajo condiciones anómalas, como a los usuarios quienes consideramos, con razones fundadas, de que están participando en ataques cibernéticos en contra o a través de nosotros, y una política aparte que se aplica a comunicaciones con nosotros a través de nuestro sitio web, correo electrónico u otros medios.

1.0 Tratamiento de las direcciones IP

Quad9 considera que las direcciones de Protocolo de Internet ("IP") asociadas a sus usuarios son información de identificación personal ("PII"). Quad9 utiliza la unión de las definiciones de PII incluidas en la legislación suiza (Artículo 3 (a) FADP), la legislación de Estados Unidos (2 CFR § 200.79) y la legislación de la Unión Europea (Artículo 4(1) RGPD), con la definición que abarca la mayor protección al usuario que controla en caso de cualquier conflicto entre las tres; además ampliamos la protección más rigurosa a todos los usuarios de Quad9, sin importar su ciudadanía o domicilio.

En algunos casos, la dirección de protocolo de Internet (IP), que su ordenador utiliza para comunicarse con Quad9, puede constituir una forma de información de identificación personal (PII) de la que Quad9 pueda tener conocimiento. Numerosos países clasifican y regulan las direcciones IP como PII; sin embargo, esto no está armonizado a escala internacional.

Cuando un usuario del servicio envía una consulta a Quad9, la consulta se transmite a través de Internet desde una dirección IP bajo el control del usuario, o en comunicación con él (la "dirección de respuesta"), a una dirección IP que pertenece a Quad9.

Las direcciones IP propias de Quad9 (las direcciones como 9.9.9.9, a las que se dirigen las consultas) son públicas y están asociadas al servicio y no a ningún individuo, por lo que, aunque sean direcciones IP, no constituyen Información de Identificación Personal protegida. En la mayoría de los casos, cuando Quad9 recibe una consulta DNS, la dirección IP de la que recibe la consulta es la de un almacenamiento/reenvío de servidor DNS o el exterior de un proxy o traductor de direcciones de red ("NAT"). En cualquiera de estos casos, la dirección IP representa a un conjunto de usuarios, a menudo un conjunto bastante grande, que en ocasiones asciende a millones, y esos usuarios van y vienen, invisibles para el resto, ocultos tras esa dirección intermedia. En estos casos, que, por lo que sabemos, constituyen casi la totalidad del uso de nuestros sistemas, la dirección IP no es un IPP. Pero en un caso extraordinario, la dirección IP de la que recibimos una consulta puede ser única y mundialmente enrutada y directamente asociada a un individuo, en cuyo caso es IIP.

Quad9 no pretende hacer distinción entre las direcciones IP asociadas a los servidores o NATs y las asociadas a los usuarios individuales, porque hacerlo no mejoraría nuestro servicio, sino que paralelamente consumiría sus recursos y excluiría innecesariamente a los usuarios particulares del manto protector de nuestro tráfico. En resumen, aunque esta práctica es muy importante para quienes recogen y rentabilizan la información de los usuarios ("limpiar la lista de direcciones" en términos publicitarios), es un problema para nosotros.

Por consiguiente, tomamos el camino más sencillo para tratar todas las direcciones IP de las que recibimos consultas como si fueran IIP. En este documento, nos referimos a todas ellas colectivamente como "Dirección de Respuesta" ya que esa es su relación funcional con nuestro servicio y nuestra política de privacidad, sin importar cómo (y de forma invisible para nosotros) estas puedan funcionar desde la perspectiva del usuario. Esta definición tiene importancia en el contexto de una política de privacidad porque abarca todas las direcciones IP desde las que recibimos consultas (las cuales tratamos todas como IIP), pero no abarca las nuestras (que no lo son).

Cuando Quad9 recibe la consulta, esta se encuentra normalmente dentro de un "sobre" (más concretamente, una cabecera de protocolo IP) que contiene ambas direcciones. Quad9 mantiene de manera imprescindible la dirección de respuesta en la memoria volátil de acceso aleatorio ("RAM") durante los pocos microsegundos o milisegundos que se necesitan para atender la consulta del usuario. Durante este tiempo, Quad9 utiliza la dirección de respuesta para incrementar un contador del número de consultas recibidas desde el prefijo publicado por BGP de la dirección de respuesta y un contador del número de consultas recibidas desde una región geográfica, que es menor a una nación o una población no menor que 10.000 personas.

La dirección de respuesta no se utiliza para ningún otro propósito, ya que se elimina de la memoria RAM tan pronto como (en el caso de una consulta que el usuario realice a través del Protocolo de Datagramas de Usuario) hayamos transmitido la respuesta a la dirección de respuesta del usuario, o (en el caso de una consulta que el usuario realice a través del Protocolo de Control de Transmisión) tan pronto como el usuario o Quad9 cierren la conexión TCP. La dirección de respuesta (o cualquier representación o proxy de la misma) no se copia en un almacenamiento permanente, ni se transmite a través de la red a ningún otro destino que no sea el usuario. Sale de la computadora en la que la recibimos sólo en forma de respuesta al usuario; a ningún otro destino, de ninguna otra manera, para ningún otro fin.

Utilizamos la virtualización de servidores y somos conscientes de que, en ciertas configuraciones que no utilizamos, sería posible que el software de virtualización dependiera de la memoria virtual. En efecto, si la memoria física fuera insuficiente, el proceso de "memoria virtual" intercambiaría en el disco las páginas de RAM que no estuvieran en uso. Si la máquina se detuviera precisamente en ese momento, posiblemente se podría presumir que las direcciones de respuesta pudieran ser extraídas de las páginas de memoria que hayan sido intercambiadas al disco mediante descifrado por fuerza bruta.

No creemos que este proceso ocurra en nuestros servidores por dos razones. En primer lugar, evitamos que esto ocurra asignando una cantidad de RAM físico a cada imagen de cliente que excede la cantidad de RAM a la que considera tener acceso. En segundo lugar, las páginas de RAM que contienen puntos finales de transacciones de consulta DNS en vivo son las más activas, y no las menos activas, ya que, si una de ellas fuera intercambiada al disco, el funcionamiento de la máquina se pararía totalmente. Esto se mostraría como una señal de alarma en nuestros sistemas de monitorización de rendimiento, por lo que, si ocurriera, sería evidente para nosotros, pero no ocurre.

2.0 Recopilación e intercambio de datos

Como fundación sin ánimos de lucro dedicada al aprovisionamiento de un DNS recursivo, seguro, privado y eficaz, Quad9 limita su recopilación de datos únicamente a aquellos que le permiten desempeñar mejor su misión al servicio de sus usuarios. Si los datos no hacen que el servicio sea más seguro, más privado, más rápido y más resistente para sus usuarios, no nos preocupamos en recopilarlos.

Quad9 no cuenta con ningún procedimiento para que los usuarios "registren" creen una cuenta o nos revelen su identidad, ya que no tenemos ninguna razón técnica o comercial para identificar a los usuarios ni diferenciarlos unos de otros. Por lo tanto, no tenemos ningún registro o estructura de datos asociados con o codificados por el usuario, y en ese sentido, no tenemos ningún lugar donde almacenar, ni ninguna forma de recuperar los datos de los usuarios.

2.1 Direcciones IP

Quad9 no almacena ni guarda las direcciones IP, ni tampoco almacena o guarda ningún proxy o alguna representación de direcciones IP, ni almacena o guarda ningún otro identificador único de usuarios en lugar de las direcciones IP.

Dado que Quad9 no recopila ni conserva las direcciones IP, estas no pueden combinarse ni correlacionarse con otra información, tales como etiquetas de consulta o marcas temporales, para vulnerar la privacidad de los usuarios de Quad9.

Como se ha señalado anteriormente, Quad9 trata las direcciones de respuesta como información de identificación personal. El principal riesgo asociado a la IIP es que pueda utilizarse junto con otra información para crear un perfil de un usuario y de sus acciones.

Una dirección IP supone, por sí misma, un riesgo razonablemente bajo, y la demás información que disponemos, como la etiqueta de la consulta, también representa, por sí misma, un riesgo escaso para la privacidad del usuario. Pero si la dirección IP de un usuario se asociara con una etiqueta de consulta, o con una etiqueta de consulta a la vez que, con una marca temporal, entonces la privacidad del usuario se perdería. Por lo tanto, Quad9 se centra en garantizar que las direcciones IP nunca se correlacionen con otra información que esté bajo nuestro control.

Logramos esto al minimizar nuestro manejo de las direcciones IP y asegurarnos de que nunca haya un punto en nuestro proceso en el que una dirección IP y una etiqueta de consulta estén vinculadas, excepto en la respuesta proporcionada al usuario. La información que no poseemos es información que no puede ser vendida, filtrada o hurtada.

2.2 Recopilación de datos

La recopilación de datos de Quad9 se realiza principalmente en forma de conteos de enteros. Esta es la lista completa de elementos que contamos en cada servidor de Quad9:

  • El número de consultas para cada tipo de consulta, por ejemplo, A, AAAA, NS, MX, TXT.
  • El número de cada tipo de respuesta, por ejemplo, SUCCESS, SERVFAIL, NXDOMAIN.
  • El número de consultas que llegan a través de cada protocolo de transporte y tipo de cifrado, por ejemplo, IPv4, IPv6, TCP, UDP, DoT, DoH, DNScrypt.
  • El número de consultas originado en cada región geográfica.
    • El número de consultas de cada dominio malicioso originado en cada región geocodificada.
  • El número de consultas originado en cada prefijo IP anunciado por BGP.
    • El número de consultas para cada dominio malicioso originado en cada prefijo IP anunciado por BGP.

Asimismo, registramos:

  • Las horas de las primeras y más recientes incidencias de consultas para cada etiqueta de consulta.
Con el fin de estimar las necesidades y planificar la capacidad, llevamos un conteo del número de consultas que atendemos, qué parte de ellas llega a cada uno de nuestros servidores, qué parte de ellas procede de cada zona geográfica, qué parte de ellas procede de cada red de operadores y qué parte de ellas llega a través de cada uno de los protocolos que respaldamos.

También podemos constatar la primera y la última vez que vemos una consulta para cada etiqueta de consulta única. Por otro lado, en el caso de las etiquetas de consulta que los analistas de información sobre amenazas nos señalan que debemos bloquear para proteger a nuestros usuarios del malware y el fraude, también contamos el número de veces que cada dominio malicioso ha sido consultado desde cada región geográfica.

Ninguno de estos conteos incluye información de identificación personal, se corresponden o hacen referencia de forma más concreta a una consulta individual.

Cuando realizamos conteos por regiones geográficas, utilizamos datos demográficos para garantizar que ninguna región sea menor que una nación o que una población no sea menor de 10.000 personas.

Por ejemplo, Nunavut es un territorio de Canadá con una población de 39.000 habitantes, pero ninguna ciudad dentro de Nunavut tiene más de 8.000 habitantes. Por lo tanto, todas las consultas originadas en el territorio se agregan a un único conteo que representa más de 2.000.000 km2. En el extremo opuesto, la Ciudad del Vaticano es un país con una población de 825 habitantes y una superficie de 0,4 km2 que, al ser un país reconocido por la norma ISO 3166, también está representado por un único conteo. Se identifican aproximadamente 8.000 regiones geográficas que tienen una población media de 1.000.000 de personas cada una.

Tenemos dos objetivos para conservar los conteos geográficos: garantizar la existencia de suficiente capacidad de servidores Quad9 en una región para atender a su población localmente y de forma adecuada; asimismo, cuando se produzcan amenazas cibernéticas, comprender el grado en que éstas se enfocan o afectan de forma desproporcionada a alguna población en particular.
Admitimos que, si una región geográfica fuera muy pequeña, o muy escasamente poblada, podría albergar potencialmente a un solo individuo y, por lo tanto, podría correlacionarse con la IIP de otras fuentes para crear un riesgo para la privacidad de ese individuo.

Todos los datos anteriores pueden conservarse de manera total o parcial en archivos permanentes.

2.3 Intercambio de datos

Quad9 no comparte, vende ni alquila ninguna información que pueda identificar a una persona. No compartimos esta información porque no disponemos de ella. No tenemos esta información porque no la necesitamos. Como no la necesitamos, no hemos creado ningún sistema para recopilarla, conservarla, analizarla o distribuirla.

Quad9 comparte contadores estadísticos muy limitados con los analistas de información sobre amenazas que proporcionan los datos de información sobre amenazas que nos permiten proteger a nuestros usuarios de ataques maliciosos. Esta información permite a los analistas de información sobre amenazas perfeccionar sus análisis y brindarnos información más precisa, lo que a su vez nos permite ofrecer a nuestros usuarios una mayor seguridad. Esta información no incluye ninguna información de identificación personal ni ninguna otra que pueda vincularse con otros datos para identificar a una persona o su uso de Internet. En concreto, con cada analista de información sobre amenazas, compartimos los tres datos siguientes:

  • Marca temporal de cada consulta por cada dominio malicioso que se ha identificado.
  • El número de consultas de cada dominio malicioso que se ha identificado, procedentes de cada región geocodificada.
  • El número de consultas de cada dominio malicioso que se ha identificado, originado en cada prefijo IP anunciado por BGP.

Para la comodidad de los analistas de información sobre amenazas, también proporcionamos el número de sistema autónomo de origen asociado al prefijo IP anunciado por BGP. Esto no es información derivada de las consultas de los usuarios, sino que es información derivada independientemente de las tablas de enrutamiento BGP. No incluye PII, ni puede combinarse con PII para representar a un usuario.

No compartimos contadores asociados a dominios maliciosos con analistas de información sobre amenazas que no nos hayan identificado ese dominio en particular como malicioso.

Quad9 brinda datos a muy pocos investigadores de seguridad cuidadosamente evaluados para ayudarlos a comprender y proteger mejor al público de las amenazas cibernéticas. Estos datos pueden consistir en un muestreo estadístico escaso de respuestas DNS con marca temporal de nuestro caché o de los servidores autoritativos ascendentes, pero sin dirección, prefijo, ASN u otros datos relacionados con el usuario o la consulta. No incluye ningún IIP, ni ningún dato que creamos pueda combinarse o asociarse a un IIP para caracterizar a un usuario o su comportamiento.

Cuando ofrecemos dicha asistencia, lo hacemos solo bajo un acuerdo por escrito en el que el investigador utiliza la información que le proporcionamos únicamente con el fin de mejorar la seguridad del usuario, y no para ningún otro cometido. Exigimos a los investigadores que realicen sus análisis en servidores e infraestructuras que son propiedad de Quad9 y están gestionados por ésta, y no permitimos que los datos se extraigan de esos sistemas más que en forma de resumen.

Quad9 brinda información general, como el número de amenazas bloqueadas y el tiempo de actividad de la infraestructura, al público.

3.0 Excepciones

Como cualquier otro operador de infraestructuras críticas, debemos asegurar la seguridad de nuestros sistemas a fin de garantizar la privacidad de nuestros usuarios. Contamos con una política de privacidad aparte para condiciones anómalas, como cualquiera en la que los usuarios estén participando en ciberataques en contra de nosotros.

4.0 Organismos asociados

Quad9 proporciona datos a los analistas de información sobre amenazas, quienes nos facilitan los medios para proteger a nuestros usuarios de los dominios maliciosos, como se detalla en la sección 2.3. Quad9 proporciona información a los investigadores para ayudarles a comprender y proteger mejor al público de las ciberamenazas, pero dicha asistencia que se nos ofrece no contiene ninguna IIP ni datos que consideremos que puedan combinarse o correlacionarse con la IIP para caracterizar a un usuario o su conducta. Cuando ofrecemos dicha asistencia, lo hacemos únicamente bajo un acuerdo por escrito en el que el investigador utiliza la información que le proporcionamos únicamente con el fin de mejorar la seguridad del usuario, y no para ningún otro fin. Ninguna otra entidad recibe datos de Quad9, aparte de los que se ponen a disposición del público en general.

5.0 Correlación de datos

No asociamos ni mezclamos los datos que están en nuestro poder con los de otras fuentes.

6.0 Filtro de resultados

Quad9 facilita respuestas filtradas y no filtradas a las consultas DNS, a discreción del usuario.

6.1 Filtro de información

Quad9 utiliza los datos de información sobre amenazas que provienen de analistas competentes de información sobre amenazas para brindar protección de seguridad opcional a los usuarios de Quad9. Quad9 examina cuidadosamente a los analistas de información sobre amenazas y evalúa la calidad de la información proporcionada de manera continua.

La información sobre amenazas se añade desde estas variadas fuentes en una única "lista de bloqueo" de dominios que se presume que tiene un alto grado de confianza, pero que existen principal o exclusivamente con el propósito de dañar a un usuario. Se sabe que muchas de estas fuentes de datos están compuestas por millones de entidades maliciosas y que, por tanto, al no estar sujetas a una revisión o escrutinio humano individual, Quad9 realiza un esfuerzo continuo de inspección de estas fuentes de datos para garantizar la calidad y adaptación.

Quad9 colabora de forma bidireccional con los analistas de información sobre amenazas para ayudarles a perfeccionar la calidad de sus análisis y, por tanto, el grado de protección que ofrecen a los usuarios de Quad9. Este compromiso incluye el intercambio de datos, tal y como se define en la sección 2.3. Quad9 también permite a los usuarios consultar el estado del bloqueo actual de cualquier dominio a través de un formulario en nuestro sitio web. Para cada dominio bloqueado, Quad9 revela la identidad del analista de amenazas que sugirió el bloqueo y proporciona cualquier texto explicativo que pueda haber proporcionado a través de este sistema.

6.1.1 Censura

Quad9 no censura las respuestas que ofrece por ningún otro motivo que no sea el bloqueo de dominios maliciosos asociados a la suplantación de identidad, el malware, la vulnerabilidad de seguridad o el fraude, como se detalla en la sección 6.1. Quad9 no acepta pedidos de censura por parte de gobiernos u otras entidades. Quad9 precisa a sus analistas de información sobre amenazas que no acepta sugerencias de bloqueo de dominios por motivos de censura y que revertirá dichos intentos de los que se tenga conocimiento.

6.1.2 Bloqueo involuntario

Quad9 acepta los informes de "falsos positivos" por parte del público sobre dominios que los usuarios consideran legítimos y que han sido erróneamente bloqueados. Estos informes pueden enviarse a través de un formulario en nuestro sitio web o por correo electrónico a support@quad9.net. Quad9 se esfuerza por investigar, de forma manual, cada uno de los dominios señalados. Los usuarios deben tener en cuenta que los actores maliciosos siempre nos informan que sus dominios maliciosos han sido erróneamente bloqueados, por lo que la validación de los falsos positivos es un proceso complejo. Al determinar que un dominio bloqueado ha sido bloqueado erróneamente, Quad9 lo añade a una "lista de permitidos " que anula la información sobre amenazas maliciosas que recibimos de los analistas de información sobre amenazas, por lo que el dominio se elimina permanentemente de nuestra lista conjunta de bloqueos.

7.0 Derechos del usuario

El usuario tiene el derecho a recibir información sobre sus datos personales procesados por nosotros por escrito y de forma gratuita en cualquier momento. Asimismo, tiene derecho a rectificar, suprimir y limitar el tratamiento de los datos, así como a la divulgación de determinados datos personales para su transferencia a otro encargado del tratamiento. En la medida en que el usuario tenga conocimiento de este proceso, tiene derecho a retirar este consentimiento con efecto para el futuro. Encontrará los datos de contacto pertinentes en la introducción de esta declaración de privacidad. Además, todo implicado tiene derecho a hacer valer sus derechos ante los tribunales o a presentar una denuncia ante la autoridad de protección de datos que corresponda. La autoridad competente en materia de protección de datos de Suiza es el Comisionado Federal de Protección de Datos e Información (http://www.edoeb.admin.ch).

8.0 Contacto

Si tiene alguna duda o comentario relacionado con la privacidad de esta declaratoria, por favor, envíe un correo electrónico a support@quad9.net. También puede ponerse en contacto con nosotros escribiendo a esta dirección CleanerDNS Inc. dba Quad9, 1442 A Walnut Street, Suite 501, Berkeley CA 94709. Próximamente: Quad9, c/o SWITCH, Werdstrasse 2, P.O. Box, CH-2021 Zurich].

-fin-

Esta política se publica bajo la licencia de Creative Commons Attribution-NonCommercial-ShareAlike.

La siguiente traducción solo tiene carácter informativo. En caso de cualquier contradicción o incoherencia entre esta versión traducida y la versión en inglés (incluso como resultado de demoras en la traducción), prevalecerá la versión inglesa.



Enlaces de interés
Petición de comentarios 8932 - Recomendaciones para los proveedores de servicios de privacidad
Ejemplo de política RPS
Artículo 3 (a) FADP - Ley federal suiza de protección de datos
2 CFR § 200.79 - Ley de los Estados Unidos
Artículo 4 (1) RGPD - Reglamento de la Unión Europea
almacenamiento/reenvío de servidor DNS - Quora
Servidor proxy - Wikipedia
Traductor de direcciones de red - Wikipedia